Exchange antigo “Microsoft Federation Gateway” impedindo a validação de domínio no Office 365?

Navegue suas respostas
2

Estou a 5 dias do processo de validação de um domínio que controlo no Office 365 para poder iniciar uma coexistência híbrida e migração completa. Eu já tenho 4 dias para trabalhar com o Suporte da Microsoft, mas tem sido um processo incrivelmente lento.

A mensagem que recebi (apenas uma vez, não quero mencionar quantas tentativas de validação de DNS e e-mail com / sem suporte, sim, com a devida propagação de DNS de cada vez):

We can't verify (YOUR-DOMAIN).com because it is associated with another Microsoft hosted service. A domain can be associated with only one service. To use this domain, first remove it from the other service, and then try again to verify the domain. If you still can't verify the domain, contact Microsoft Online Services Support to resolve the issue. Get someone to help you.

Esta página indica que é um serviço Microsoft Online ou uma federação com o Microsoft Exchange Online.

Alguém já teve um "Microsoft Federation Gateway" anterior no Exchange (2010 ou outro) para impedir uma validação de domínio para o Office 365 e como você o resolveu? Existe algum serviço óbvio ou coisas que posso verificar? Na verdade, eu não estava usando o gateway e já o removi, mas não ajudou. Eu tive o controle de DNS único por uma década, e nem sequer lembro que tínhamos isso até encontrá-lo no meu sistema de bilhetagem. Eu sei que nenhum outro predecessor poderia ter validado & nos inscreveu para uma conta em outro lugar, então é um caso de mim contra minha própria memória.

Estou perguntando aqui porque já tenho 4 dias úteis para receber suporte sem resposta. Estou permitindo a propagação de DNS - esse não é o nosso problema.

Estou à procura de toda e qualquer solução possível ou de coisas que eu possa tentar além de continuar a esperar pelo suporte.

    
por Joshua McKinnon 05.08.2017 / 00:01

1 resposta

1

Problema resolvido

O escalonamento de suporte do Office 365 finalmente confirmou que era uma confiança de federação que estava bloqueando minha validação. Eu indiquei isso para apoiar no dia 1 quando vi a mensagem e fiz a minha diligência devida confirmando que eu tinha um (e removendo). Minha remoção de confiança de federação original estava incompleta, provavelmente devido ao meu certificado de federação expirado.

Quando o suporte da Microsoft fez com que alguém verificasse a causa, o tratamento era simples.

  1. Prove a propriedade novamente na forma como o suporte solicita. Isso consistiu em mostrar meu DNS para excluir erros do usuário, bem como adicionar outro registro TXT manual para validação e permitir que ele se propagasse (isso é bom - eles não removerão a confiança da federação de alguém até que tenham certeza absoluta de que você possui o domínio)
  2. Suporte da Microsoft para remover a confiança da federação antiga do lado deles
  3. Executando novamente Confirm-MsolDomain -DomainName e vendo o texto doce e doce

The domain has been successfully verified for your account.

Uma vez que a escalação de suporte olhou e confirmou o que estava bloqueando minha validação, as etapas de 1 a 3 levaram apenas uma hora. Chegar ao passo 1 levou 7 dias de chamadas, e-mails e escalonamento. : (

Coisas que eu tentei que não funcionaram

Removendo meu gateway de federação original usando este guia:

Não siga as etapas no link abaixo, mencionando -Force. - Eu enviei um link de feedback que usando -Force pode ter sido um conselho muito ruim link

Adicionando e removendo novamente um Microsoft Federation Gateway (depois de perguntar ao suporte se está tudo bem se eu fizer isso). Este processo correu bem e sem erros, mas não resolveu a remoção original inadequada / incompleta de um gateway. Apenas o suporte da Microsoft poderia cuidar disso. Eu esperava que os remanescentes antigos pudessem bloquear a recriação (confirmando o problema), ou reconectar ao antigo e removê-lo. Não é o caso, pelo menos para mim. Talvez se eu renovar o & reutilizei meu certificado antigo (essa é a etapa de confiança de federação de certificados autoassinados que você criou, não sua SAN de troca principal)? Isso continuará sendo uma questão em aberto.

Numerosas tentativas de validação a pedido de suporte.

Lições / Orientação

Se você também se deparar com um "Microsoft Federation Gateway" antigo e esquecido no servidor Exchange que certamente não está sendo usado ativamente e tiver um certificado de federação expirado, renove o certificado antes da remoção! Eu usei -Force (por docs, quando encontrei o erro que tinha) e isso pode ter causado o meu problema. Ênfase em pode mas eu acho que é provável, pois não tenho outra explicação. Suporte confirmou que era uma confiança de federação bloqueando minha validação, mas não declarou definitivamente por que ainda estava lá - a suspeita é o certificado expirado ao remover e que parece ser o mais provável.

Documente tudo. Boa disciplina com logs, mensagens de erro e capturas de tela é como eu vi esse erro. A mensagem de erro que indicava o meu verdadeiro problema mostrava apenas UMA HORA de uma dúzia de tentativas com suporte. Todas as outras vezes, era uma "falha na verificação genérica. Entre em contato com o suporte". Se eu não tivesse documentado isso, pesquisado e lido que uma relação de confiança pode estar bloqueando isso, eu não estaria apontando apoio nessa direção e talvez tenha ficado preso tentando resolver isso por muito mais tempo.

O suporte do Office 365 é lento. Eu não esperava que fosse rápido, mas eu esperava muito mais rápido do que 7 dias para resolver um bloqueador de implantação. Verifique seus domínios antes de precisar deles, caso você encontre um problema inesperado.

    
por 09.08.2017 / 20:12

Tags

HAProxy stats durante um período específico Como estender o CentOS 7 / partition após atualizar o tamanho do disco em um VPS